Cómo capturar el tráfico HTTP en Wireshark

Wireshark le permite analizar el tráfico dentro de su red con varias herramientas. Si desea ver lo que sucede dentro de su red o tiene problemas con el tráfico de la red o la carga de la página, puede usar Wireshark. Le permite capturar el tráfico, para que pueda comprender cuál es el problema o enviarlo a soporte para obtener más ayuda. Siga leyendo este artículo y aprenderá cómo capturar el tráfico http en Wireshark.

Instalación de Wireshark

Instalar Wireshark es un proceso fácil. Es una herramienta gratuita en diferentes plataformas, y así es como puede descargarla e instalarla:

Usuarios de Windows y Mac

1. Abre tu navegador.
2. Visite https://www.wireshark.org/download.html .
3. Seleccione la versión para su dispositivo.
   
4. Wireshark se descargará en su dispositivo.
5. Instálelo siguiendo las instrucciones del paquete.
   

Usuarios de Linux

Si es usuario de Linux, puede encontrar Wireshark en el Centro de software de Ubuntu. Descárguelo desde allí e instálelo de acuerdo con las instrucciones del paquete.

Captura de tráfico HTTP en Wireshark

Ahora que ha instalado Wireshark en su computadora, podemos pasar a capturar el tráfico http. Estos son los pasos para hacerlo:

1. Abra su navegador: puede usar cualquier navegador.
2. Borrar caché: antes de capturar el tráfico, debe borrar el caché de su navegador. Puede hacerlo si va a la configuración de su navegador.
   
3. Abre Wireshark.
   
4. Toca "Capturar".
   
5. Toca "Interfaces". Ahora verá una ventana emergente en su pantalla.
6. Elija la interfaz. Probablemente desee analizar el tráfico que pasa por su controlador de ethernet.
   
7. Una vez que haya seleccionado la interfaz, toque "Inicio" o toque "Ctrl + E".
   
8. Ahora regrese a su navegador y visite la URL desde la que desea capturar el tráfico.
   
9. Una vez que haya terminado, deje de capturar el tráfico. Vuelva a Wireshark y toque "Ctrl + E".
   
10. Guarde el tráfico capturado. Si tiene problemas de red y desea enviar el tráfico capturado a soporte, guárdelo en un archivo con formato *.pcap.
    

Captura de paquetes en Wireshark

Además de capturar el tráfico http, puede capturar cualquier dato de red que necesite en Wireshark. Así es como puedes hacer esto:

1. Abre Wireshark.
   
2. Verá una lista de conexiones de red disponibles que puede examinar. Seleccione el que le interese. Si lo desea, puede analizar varias conexiones de red a la vez presionando "Mayús + clic izquierdo".
   
3. Ahora puede comenzar a capturar paquetes. Puede hacer esto de varias maneras: la primera es tocando el ícono de la aleta de tiburón en la esquina superior izquierda. El segundo es tocar "Capturar" y luego tocar "Iniciar". La tercera forma de comenzar a capturar es tocando "Ctrl + E".
   

Durante la captura, Wireshark mostrará todos los paquetes capturados en tiempo real. Una vez que haya terminado de capturar paquetes, puede usar los mismos botones/accesos directos para detener la captura.

Filtros Wireshark

Una de las razones por las que Wireshark es uno de los analizadores de protocolos más famosos en la actualidad es su capacidad para aplicar varios filtros a los paquetes capturados. Los filtros de Wireshark se pueden dividir en filtros de captura y visualización.

Filtros de captura

Estos filtros se aplican antes de capturar datos. Si Wireshark captura datos que no coinciden con los filtros, no los guardará y usted no los verá. Entonces, si sabe lo que está buscando, puede usar filtros de captura para acotar su búsqueda.

Estos son algunos de los filtros de captura más utilizados que puede utilizar:

• host 192.168.1.2: captura todo el tráfico asociado con 192.168.1.2.
• puerto 443: captura todo el tráfico asociado con el puerto 443.
• puerto no 53: captura todo el tráfico excepto el asociado con el puerto 53.

Filtros de visualización

Dependiendo de lo que esté analizando, los paquetes capturados pueden ser muy difíciles de atravesar. Si sabe lo que está buscando o si desea restringir su búsqueda y excluir los datos que no necesita, puede usar filtros de visualización.

Estos son algunos de los filtros de visualización que puede utilizar:

• http: si capturó una cantidad de paquetes diferentes, pero desea ver solo el tráfico basado en http, puede aplicar este filtro de visualización y Wireshark le mostrará solo esos paquetes.
• http.response.code == 404: si tiene problemas para cargar ciertas páginas web, este filtro puede ser útil. Si lo aplica, Wireshark solo mostrará los paquetes donde "404: Página no encontrada" fue una respuesta.

Es importante tener en cuenta la diferencia entre los filtros de captura y visualización. Como ha visto, aplica filtros de captura antes y muestra filtros después de capturar paquetes. Con los filtros de captura, descarta todos los paquetes que no se ajustan a los filtros. Con los filtros de visualización, no descarta ningún paquete. Simplemente los oculta de la lista en Wireshark.

Características adicionales de Wireshark

Aunque la captura y el filtrado de paquetes es lo que hace que Wireshark sea famoso, también ofrece diferentes opciones que pueden facilitar el filtrado y la resolución de problemas, especialmente si es nuevo en esto.

Opción de colorización

Puede colorear los paquetes en la lista de paquetes según diferentes filtros de visualización. Esto le permite enfatizar los paquetes que desea analizar.

Hay dos tipos de reglas de coloración: temporales y permanentes. Las reglas temporales se aplican solo hasta que cierra el programa y las reglas permanentes se guardan hasta que las vuelve a cambiar.

Puede descargar reglas de coloreado de muestra aquí , o puede crear las suyas propias.

Modo promiscuo

Wireshark captura el tráfico que llega o sale del dispositivo en el que se ejecuta. Al habilitar el modo promiscuo, puede capturar la mayor parte del tráfico en su LAN.

Línea de comando

Si está ejecutando su sistema sin una GUI (interfaz gráfica de usuario), puede usar la interfaz de línea de comandos de Wireshark. Puede capturar paquetes y revisarlos en una GUI.

Estadísticas

Wireshark ofrece un menú de "Estadísticas" que puede usar para analizar los paquetes capturados. Por ejemplo, puede ver las propiedades de los archivos, analizar el tráfico entre dos direcciones IP, etc.

preguntas frecuentes

¿Cómo leo los datos capturados en WireShark?

Una vez que haya terminado de capturar paquetes, Wireshark los mostrará todos en un panel de lista de paquetes. Si quieres centrarte en una captura en concreto, haz doble clic sobre ella y podrás leer más información al respecto.

Puede decidir abrir una captura en particular en una ventana separada para facilitar el análisis:

1. Elija el paquete que desea leer.

2. Haga clic derecho sobre él.

3. Toque "Ver".

4. Toque "Mostrar paquete en ventana nueva".

Aquí hay algunos detalles del panel de la lista de paquetes que lo ayudarán con la lectura de capturas:

1. No.: el número de un paquete capturado.

2. Hora: esto le muestra cuándo se capturó el paquete con respecto a cuándo comenzó a capturar. Puede personalizar y ajustar el valor en el menú "Configuración".

3. Fuente: este es el origen de un paquete capturado en forma de dirección.

4. Destino: la dirección de destino de un paquete capturado.

5. Protocolo: el tipo de paquete capturado.

6. Longitud: muestra la longitud de un paquete capturado. Esto se expresa en bytes.

7. Información: información adicional sobre un paquete capturado. El tipo de información que ve aquí depende del tipo de paquete capturado.

Todas las columnas anteriores se pueden reducir con el uso de filtros de visualización. Dependiendo de lo que le interese, puede interpretar las capturas de Wireshark de manera más fácil y rápida aplicando diferentes filtros.

En un mundo de peces, sé un Wireshark

Ahora ha aprendido a capturar tráfico http en Wireshark, junto con información útil sobre el programa. Si desea inspeccionar su red, solucionar problemas o asegurarse de que todo esté en orden, Wireshark es la herramienta adecuada para usted. Es fácil de usar e interpretar, y es gratis.

¿Has usado Wireshark antes? Cuéntanos en la sección de comentarios a continuación.